nexalign

Branche · Asset Management & Vermögensverwaltung

DecisionOS für Asset Management und Vermögensverwaltung

Asset Management fallt seit Januar 2025 unmittelbar unter DORA: AIFM, OGAW-Verwaltungsgesellschaften, Wertpapierfirmen, Verwahrstellen und in vielen Konstellationen Family Offices mit Wertpapier-Dienstleistung. Plus MaRisk (KaMaRisk für Kapitalverwaltungsgesellschaften), KAGB-Vorgaben und MiFID II. IT-Entscheidungen zu PMS, OMS, EMS, Risiko-Tools oder Reporting-Plattformen müssen alle Achsen gleichzeitig adressieren.

TL;DR

Asset Manager sind DORA-Volladressat. Tool-Auswahl muss Art. 28-30 abdecken.

Regulatorik im Überblick

DORAMaRisk / KaMaRiskKAGBAIFMDUCITSMiFID IIMiCANIS2DSGVO

Regulatorischer Kontext

DORA gilt seit 17. Januar 2025. Asset Manager mit AIFM-, OGAW- oder MiFID-Lizenz sind direkter Adressat. Ausnahmen für Klein-Verwalter unter AIFMD-Schwellen.

MaRisk/KaMaRisk legt die deutschen Anforderungen an die Geschäftsorganisation. Für ICT-Aspekte überlagert DORA viele Punkte ab 2025.

KAGB regelt Kapitalverwaltungsgesellschaften, AIFMD-Umsetzung in deutsches Recht. MiFID II für Wertpapier-Dienstleistung.

Bei Krypto-Asset-Bezug zusätzlich MiCA und MiCA-DORA-Wechselwirkungen.

Typische Entscheidungen

EDR / XDR Auswahl

IAM / IGA / PAM

Sovereign Cloud Migration

DORA-Readiness Programm

SIEM/SOC Auswahl

Backup und DR

Dealbreaker (nicht verhandelbar)

  • DORA Art. 30 Pflichtklauseln in jedem ICT-Vertrag

    Kritische Funktionen brauchen erweiterte Klauseln (Audit-Rechte, Sub-Outsourcing, Exit, Incident-Reporting).

  • EU-Datenresidenz mit Schlüssel-Hoheit

    Portfolio- und Kundendaten sind höchst sensibel. CLOUD-Act-Risiko klar ausschließen.

  • Concentration-Risk-Steuerung

    DORA Art. 29 verlangt Bewertung von Konzentrations-Risiken bei ICT-Drittanbietern.

  • Audit-Trail und Reporting-Fähigkeit

    BaFin und CSSF (LU) verlangen ICT-Register und Pflicht-Reports.

Typische Entscheidungen

Portfolio-Management-System (PMS) inkl. OMS- und EMS-Integration.

Risiko-Reporting-Plattform mit Solvency-II- oder AIFMD-Reporting.

Cloud-Migration der Mid-/Back-Office-Stacks mit Sovereign-Cloud-Optionen.

Vendor-Auswahl Custodian, Fondsbuchhaltung, Fund Administrator.

Wo DecisionOS einspeist

Kriterien-Mapping auf DORA Art. 5 (Framework) und Art. 28-30 (Drittanbieter), Dealbreaker als Pflichtklauseln, Stakeholder-Alignment über CIO, CISO, CRO, Legal, Compliance, Vorstand.

Hosting und Datenhoheit

DecisionOS wird in Deutschland bei Hetzner gehostet, EU-only Datenfluss, AVV nach Art. 28 DSGVO. Geeignet als Decision-Layer für DORA-pflichtige Asset-Management-Tool-Auswahl.

FAQ

Sind alle Asset Manager DORA-pflichtig?

AIFM und OGAW-Verwaltungsgesellschaften ja, mit teilweise vereinfachten Pflichten für Klein-AIFMs unter AIFMD-Schwellen. MiFID-lizenzierte Wertpapierfirmen ja. Family Offices ohne MiFID-Lizenz typischerweise nicht direkt, aber mittelbar über Lieferanten- und Custodian-Klauseln.

Was sind die wichtigsten DORA Art. 30 Pflichtklauseln für Asset Manager?

Bei kritischen oder wichtigen Funktionen: vollständige Audit-Rechte (auch für Aufsicht), Sub-Outsourcing-Kontrolle, getestete Exit-Strategie mit Übergangsfristen, Incident-Reporting-Pflichten, Cooperation mit Aufsicht. Bei normalen Funktionen Basis-Klauseln zu SLA, Datenresidenz, Prüfrechten.

Wie verhält sich DORA zu MaRisk und KaMaRisk?

DORA setzt einen einheitlichen EU-Rahmen. KaMaRisk bleibt für Geschäftsorganisation, Risiko-Mgmt, Auslagerungen weiter relevant, wird aber an DORA angepasst. In der Praxis 2025-2026: parallel beachten, Konflikt-Punkte über BaFin-Auslegungen klären.

Demo buchen →Was ist DecisionOS?